Kritisk infrastruktur i USA er aggressivt målrettet af Phobos Ransomware

Amerikanske myndigheder slår alarm om den stadig mere aggressive målretning af kritisk infrastruktur af Phobos ransomware , en ondsindet software designet til at kryptere filer og afpresse penge fra ofre. Denne advarsel, udstedt af vigtige cybersikkerheds- og efterretningsagenturer, herunder det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA), FBI og Multi-State Information Sharing and Analysis Center (MS-ISAC), fremhæver den alvorlige trussel, som denne form for cyberkriminalitet.

Phobos ransomware, der opererer under en ransomware-as-a-service (RaaS) model, er blevet impliceret i angreb på forskellige enheder såsom kommunale og amtslige myndigheder, nødtjenester, uddannelsesinstitutioner, offentlige sundhedsfaciliteter og kritisk infrastruktur. Det er lykkedes gerningsmændene at udtrække millioner af dollars i løsesum fra deres ofre.

Phobos ransomware-kampagnen, aktiv siden maj 2019, har affødt flere varianter, herunder Eking, Eight, Elbie, Devos, Faust og Backmydata. Disse varianter er blevet brugt i økonomisk motiverede angreb, som afsløret af Cisco Talos sidst sidste år.

Beviser tyder på, at Phobos ransomware-operationer styres centralt, hvor en kontrollerende myndighed holder dekrypteringsnøglen, hvilket tilføjer et lag af kompleksitet til genopretningsindsatsen for berørte organisationer.

Fremgangsmåden for Phobos-angreb involverer typisk indledende adgang gennem phishing-e-mails eller udnyttelse af sårbarheder i Remote Desktop Protocol (RDP)-tjenester. Når trusselsaktørerne først er inde i et netværk, implementerer de yderligere værktøjer og teknikker til at opretholde vedholdenhed, undgå registrering og eskalere privilegier. De er blevet observeret ved at bruge indbyggede Windows-funktioner til at stjæle legitimationsoplysninger, omgå sikkerhedskontrol og eskalere privilegier.

Desuden er gruppen bag Phobos ransomware dygtige til at bruge open source-værktøjer som Bloodhound og Sharphound til at indsamle information om aktive mappestrukturer, hvilket letter deres bevægelser inden for kompromitterede netværk. De anvender også fileksfiltreringsmetoder og sletter volumenskyggekopier for at forhindre genoprettelsesbestræbelser.

Sværhedsgraden af ransomware-angreb understreges af nylige hændelser, såsom det koordinerede overfald beskrevet af Bitdefender, hvor flere virksomheder blev målrettet samtidigt af en gruppe kendt som CACTUS. Dette angreb, der er karakteriseret ved dets synkroniserede og mangefacetterede karakter, udnyttede sårbarheder i virtualiseringsinfrastrukturen, hvilket indikerer et udvidet omfang af mål for ransomware-aktører.

På trods af de økonomiske incitamenter for trusselsaktører, garanterer betaling af løsesum ikke sikker inddrivelse af data eller immunitet mod fremtidige angreb. Cybereasons data afslører en bekymrende tendens, hvor et betydeligt flertal af organisationer, der blev angrebet én gang, ender med at blive målrettet igen, ofte af den samme modstander, og nogle gange bliver tvunget til at betale endnu højere beløb.

Efterhånden som ransomware-angreb fortsætter med at udvikle sig i raffinement og effekt, bliver styrkelse af cybersikkerhedsforanstaltninger og vedtagelse af proaktive forsvarsstrategier altafgørende for både organisationer og regeringer.